Intel เปิดเผยช่องโหว่ใหม่ 77 รายการที่ค้นพบภายในส่วนประกอบฮาร์ดแวร์หลายตัวเช่นซีพียูคอนโทรลเลอร์อีเธอร์เน็ตและอื่น ๆ
Intel ได้ทำการค้นหาช่องโหว่ด้านความปลอดภัยภายในส่วนประกอบฮาร์ดแวร์กระแสหลักอย่างกว้างขวาง ในเดือนนี้ดูเหมือนจะค่อนข้างกังวลเนื่องจากผู้ผลิตชิปอ้างว่าได้ค้นพบข้อบกพร่องข้อบกพร่องและช่องโหว่ด้านความปลอดภัยมากกว่า 70 รายการภายในผลิตภัณฑ์และมาตรฐานต่างๆ โดยบังเอิญข้อบกพร่องส่วนใหญ่ถูกค้นพบโดย Intel ในระหว่าง "การทดสอบภายใน" ในขณะที่พาร์ทเนอร์และหน่วยงานบุคคลที่สามพบข้อบกพร่องบางส่วน
Intel Security Advisory ซึ่งเป็นกระดานข่าวรายเดือนเป็นที่เก็บข้อมูลที่ได้รับการยกย่องอย่างสูงซึ่งบันทึกการอัปเดตด้านความปลอดภัยหัวข้อการให้รางวัลบั๊กการวิจัยด้านความปลอดภัยใหม่และกิจกรรมการมีส่วนร่วมภายในชุมชนการวิจัยด้านความปลอดภัย คำแนะนำด้านความปลอดภัยในเดือนนี้มีความสำคัญเพียงเนื่องมาจากช่องโหว่ด้านความปลอดภัยจำนวนมากที่ Intel อ้างว่าได้ค้นพบภายในผลิตภัณฑ์คอมพิวเตอร์และระบบเครือข่ายที่ใช้งานเป็นประจำ ไม่จำเป็นต้องเพิ่มคำแนะนำส่วนใหญ่ในเดือนนี้มีไว้สำหรับปัญหาที่ Intel พบภายใน เป็นส่วนหนึ่งของกระบวนการ Intel Platform Update (IPU) มีรายงานว่า Intel ทำงานร่วมกับองค์กรประมาณ 300 แห่งเพื่อจัดเตรียมและประสานงานการเผยแพร่การอัปเดตเหล่านี้
Intel เปิดเผยช่องโหว่ด้านความปลอดภัย 77 รายการ แต่ไม่มีใครถูกเอาเปรียบในป่า แต่:
ในเดือนนี้ Intel ได้เปิดเผยช่องโหว่ทั้งหมด 77 ช่องซึ่งมีตั้งแต่หน่วยประมวลผลไปจนถึงกราฟิกและแม้แต่ตัวควบคุมอีเธอร์เน็ต ยกเว้นข้อบกพร่อง 10 ข้อส่วนที่เหลือของข้อบกพร่องถูกค้นพบโดย Intel ในระหว่างการทดสอบภายในของตัวเอง แม้ว่าข้อบกพร่องด้านความปลอดภัยส่วนใหญ่จะค่อนข้างเล็กน้อย แต่ด้วยขอบเขตการบังคับใช้และผลกระทบที่ จำกัด แต่บางส่วนอาจมีผลกระทบอย่างชัดเจนต่อผลิตภัณฑ์ของ Intel มีมาบ้างแล้ว เกี่ยวกับการค้นพบในปีนี้เกี่ยวกับช่องโหว่ด้านความปลอดภัยภายในผลิตภัณฑ์ของ Intel ซึ่งไม่เพียง ส่งผลกระทบต่อความปลอดภัย แต่ยังส่งผลต่อประสิทธิภาพและความน่าเชื่อถือ
Intel ได้รับรองว่าอยู่ระหว่างการแก้ไขหรือแก้ไขข้อบกพร่องด้านความปลอดภัยทั้ง 77 ข้อ อย่างไรก็ตาม ข้อบกพร่องประการหนึ่งที่ติดแท็กอย่างเป็นทางการว่า CVE-2019-0169 มีระดับความรุนแรงที่ CVSS 9.6 ไม่จำเป็นต้องพูดถึงการให้คะแนนที่สูงกว่า 9 ถือว่าเป็นระดับ "วิกฤต" ซึ่งเป็นระดับความรุนแรงสูงสุด ขณะนี้หน้าเว็บเฉพาะสำหรับข้อบกพร่องไม่มีรายละเอียดใด ๆ ซึ่งบ่งชี้ว่า Intel กำลังระงับข้อมูลเพื่อให้แน่ใจว่าไม่สามารถนำมาใช้และใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยได้
https://twitter.com/chiakokhua/status/1194344044945530880?s=19
เห็นได้ชัดว่า CVE-2019-0169 ดูเหมือนจะอยู่ใน Intel Management Engine หรือหนึ่งในองค์ประกอบย่อยรวมถึง Intel CSME ซึ่งเป็นชิปแบบสแตนด์อโลนบน CPU ของ Intel ที่ใช้สำหรับการจัดการระยะไกล หากนำไปใช้งานหรือใช้ประโยชน์อย่างถูกต้องช่องโหว่นี้อาจทำให้บุคคลที่ไม่ได้รับอนุญาตสามารถเปิดใช้งานการเพิ่มระดับสิทธิ์ขูดข้อมูลหรือปรับใช้การโจมตีแบบปฏิเสธบริการผ่านการเข้าถึงที่อยู่ติดกัน ข้อ จำกัด ที่สำคัญของการใช้ประโยชน์คือต้องมีการเข้าถึงเครือข่ายทางกายภาพ
ช่องโหว่ด้านความปลอดภัยอีกประการหนึ่งที่มีการจัดอันดับ CVSS "สำคัญ" มีอยู่ในระบบย่อยของ Intel AMT ติดแท็กอย่างเป็นทางการเป็น CVE-2019-11132 ข้อบกพร่องนี้อาจทำให้ผู้ใช้ที่มีสิทธิพิเศษสามารถเปิดใช้การเพิ่มสิทธิ์ผ่านการเข้าถึงเครือข่ายได้ ช่องโหว่ด้านความปลอดภัยที่โดดเด่นอื่น ๆ ที่มีการจัดอันดับ 'ความรุนแรงสูง' ที่ Intel กล่าวถึง ได้แก่ CVE-2019-11105, CVE-2019-11131 CVE-2019-11088, CVE-2019-11104, CVE-2019-11103, CVE- 2019-11097 และ CVE-2019-0131
ข้อผิดพลาด "JCC Erratum" ส่งผลกระทบต่อโปรเซสเซอร์ Intel ส่วนใหญ่ที่เปิดตัวเมื่อเร็ว ๆ นี้:
ช่องโหว่ด้านความปลอดภัยที่เรียกว่า "JCC Erratum" นั้นค่อนข้างเกี่ยวข้องเนื่องจากผลกระทบในวงกว้าง ข้อบกพร่องนี้ดูเหมือนจะมีอยู่ในโปรเซสเซอร์ส่วนใหญ่ของ Intel ที่เพิ่งเปิดตัวไม่ว่าจะเป็น Coffee Lake, Amber Lake, Cascade Lake, Skylake, Whisky lake, Comet Lake และ Kaby Lake อนึ่ง ซึ่งแตกต่างจากข้อบกพร่องที่พบก่อนหน้านี้ข้อบกพร่องนี้สามารถแก้ไขได้ด้วยการอัปเดตเฟิร์มแวร์ Intel อ้างว่าใช้การอัปเดตอาจลดประสิทธิภาพของ CPU ลงเล็กน้อยที่ใดก็ได้ระหว่าง 0 ถึง 4% มีรายงานว่า Phoronix ทดสอบผลกระทบด้านประสิทธิภาพด้านลบหลังจากใช้การบรรเทา JCC Erratum และสรุปว่าการอัปเดตนี้จะส่งผลกระทบต่อผู้ใช้พีซีทั่วไปมากกว่าการลดซอฟต์แวร์ก่อนหน้าของ Intel
Intel รับรองว่าไม่มีการรายงานหรือยืนยันการโจมตีในโลกแห่งความเป็นจริงที่อาศัยช่องโหว่ด้านความปลอดภัยที่ค้นพบ อนึ่ง มีรายงานว่า Intel ทำให้เป็นเรื่องยากมากที่จะค้นหาว่าซีพียูตัวใดที่ปลอดภัยหรือได้รับผลกระทบ
